| タイトル | cronoh nanovault v1.2.1 Code Injection |
|---|
| 説明 | We discovered a one-click remote code execution vulnerability in the latest version (v1.2.1) of the [NanoVault app](https://github.com/cronoh/nanovault). An attacker can exploit this vulnerability by embedding a specially crafted xrb: URL on any website, including a malicious one they control. When a victim visits such a site or clicks on the link, the browser triggers the app’s custom URL handler (`xrb:`), causing the NanoVault application to launch and process the URL, leading to remote code execution on the victim’s machine. |
|---|
| ソース | ⚠️ https://gist.github.com/jackfromeast/1e2e206813887a470e00b8474c616567 |
|---|
| ユーザー | Zhengyu Liu (UID 84541) |
|---|
| 送信 | 2025年07月20日 04:12 (11 月 ago) |
|---|
| モデレーション | 2025年08月04日 14:01 (15 days later) |
|---|
| ステータス | 承諾済み |
|---|
| VulDBエントリ | 318665 [cronoh NanoVault 迄 1.2.1 xrb URL /main.js executeJavaScript クロスサイトスクリプティング] |
|---|
| ポイント | 20 |
|---|